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(57) Abstract 

In an electronic component using a secret key K cryptographic algorithm, the algorithm operation comprises the use of first means 
TCo for supplying output data S from an input data E, the output data and/or derived data being manipulated by critical instructions, a 
countermeasure method consists in using other means TCi, TC2 such that the output data and the derived data are unpredictable, said other 
means being obtained from said first means by an or else operation with a random value u or a derived random value e(p(u) on one and/or 
the other of the input and output data of said first means TCo. 



(57) Abrege 

Dans un composant 61ectronique mettant en oeuvre un algorithme cryptographique a c\6 secrete (K), la mise en oeuvre de I'aigorithme 
comprenant l'utilisation de premiers moyens TCo pour fournir une donn6e de sortie (S) a partir d'une donn6e d'entree (E), la donnee de 
sortie et/ou des donnees derivees 6tant manipulees par des instructions critiques, un proc^de* de contre-mesure prevoit l'utilisation d'autres 
moyens TCi, TC2, en sorte que la donn6e de sortie et les donnees denvees soient impre'dictibles, ces autres moyens dtant obtenus des dits 
premiers moyens par une operation de OU EXCLUSIF avec une valeur ale*atoire (u) ou une valeur al6atoire d6riv6e e(p(u) sur Tune et/ou 
sur V autre des donnees d'entree et de sortie des dits premiers moyens TCo. 
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PROCEDE DE CONTRE— MESURE DANS UN COMPOSANT 
ELECTRONIQUE METTANT EN OEUVRE UN ALGORITHME DE 
CRYPTOGRAPHIE A CLE SECRETE 

La presente invention concerne un procede de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithme de cryptographie a cle secrete, 
lis sont utilises dans des applications ou 1'acces a 
des services ou a des donnees est severement controle. 
lis ont une architecture formee autour d'un 
microprocesseur et de memoires, dont une memoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 
cartes a puce, pour certaines applications de celles- 
ci. Ce sont par exemple des applications d'acces a 
certaines banques de donnees, des applications 
bancaires, des applications de telepeage, par exemple 
pour la television, la distribution d' essence ou encore 
le passage de peages d'autoroutes. 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est 1' algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D'autres 
algorithmes a cle secrete existent, comme 1' algorithme 
RC5 ou encore 1' algorithme COMP128. Cette liste n'est 
bien sur pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 
partir d'un message applique en entree (a la carte) par 
un systeme hote (serveur, distributeur bancaire. . .) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d ' authentif ier le 
composant ou la carte, d'echanger des donnees... 
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Or il est apparu que ces composants ou ces cartes 
sont vulnerables a des attaques consistant en une 
analyse dif f erent ielle de consommation en courant et 
qui permettent a des tiers mal intentionnes de trouver 
la cle secrete. Ces attaques sont appelees attaques 
DPA, acronyme anglo-saxon pour Differential Power 
Analysis . 

Le principe de ces attaques DPA repose sur le fait 
que la consommation en courant du microprocesseur 
executant des instructions varie selon la donnee 
manipulee, 

Notamment, une instruction du microprocesseur 
manipulant un bit de donnee genere deux profils de 
courant differents selon que ce bit vaut "1" ou "0". 
Typiquement, si 1 ' instruction manipule un "0" , on a a 
cet instant d 7 execution une premiere amplitude du 
courant consomme et si 1 ' instruction manipule un "1", 
on a une deuxieme amplitude du courant consomme, 
differente de la premiere. 

Les caracteristiques des algorithmes de 
cryptographie sont connues : calculs effectues, 
parametres utilises. La seule inconnue est la cle 
secrete contenue en memoire programme. Celle-ci ne peut 
etre deduite de la seule connaissance du message 
applique en entree et du message chiffre fourni en 
retour . 

Cependant, dans un algorithme de cryptographie, 
certaines donnees calculees dependent seulement du 
message applique en clair en entree de la carte et de 
la cle secrete contenue dans la carte. D'autres donnees 
calculees dans 1' algorithme peuvent aussi etre 
recalculees seulement a partir du message chiffre 
(generalement fourni en clair en sortie de la carte 
vers le systeme hote) et de la cle secrete contenue 
dans la carte. Plus precisement, chaque bit de ces 
donnees particulieres peut etre determine a partir du 
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message d' entree ou de sortie, et d'un nombre limite de 
bits particuliers de la cle. 

Ainsi, a chaque bit d'une donnee particuliere , 
correspond une sous-cle formee par un groupe 
particulier de bits de la cle. 

Les bits de ces donnees particulieres qui peuvent 
etre predites sont appeles dans la suite, bits cibles. 

L'idee de base de l'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 
courant d'une instruction selon qu'elle manipule un "1" 
ou un "0" et la possibility de calculer un bit cible 
par les instructions de 1 ' algorithme a partir d'un 
message connu d' entree ou de sortie et d'une hypothese 
sur la sous-cle correspondante . 

Le principe de l'attaque DPA est done de tester une 
hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative a un message d' entree connu de 1'attaquant, 
une fonction booleenne de selection, fonction de 
1 'hypothese de sous-cle, et definie pour chaque courbe 
par la valeur predite pour un bit cible. 

En faisant une hypothese sur la sous-cle concernee, 
on est en effet capable de predire la valeur "0" ou "1" 
que va prendre ce bit cible pour un message d' entree ou 
de sortie donne. 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "1" par le bit 
cible pour 1' hypothese de sous-cle consideree, pour 
trier ces courbes en deux paquets : un premier paquet 
regroupe les courbes qui ont vu la manipulation du bit 
cible a "0" et un deuxieme paquet regroupe les courbes 
qui ont vu la manipulation du bit cible a "l" selon 
1' hypothese de sous-cle. En faisant la moyenne de 
consommation en courant dans chaque paquet, on obtient 
une courbe de consommation moyenne M0(t) pour le 
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premier paquet et une courbe de consommation moyenne 
Ml(t) pour le deuxieme paquet. 

Si l'hypothese de sous-cle est juste, le premier 
paquet regroupe reellement toutes les courbes parmi les 
N courbes qui ont vu la manipulation du bit cible a "0" 
et le deuxieme paquet regroupe reellement toutes les 
courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a "1". La courbe moyenne de consommation 
M0(t) du premier paquet aura alors une consommation 
moyenne partout sauf aux moments de 1 ' execution des 
instructions critiques, avec un profil de consommation 
en courant caracter istique de la manipulation du bit 
cible a "0" (profil Q ) . En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 
chances de valoir "0" que de valoir "1", sauf le bit 
cible qui a toujours eu la valeur "0". Ce qui peut 
s'ecrire : 

M0(t)=[(prof il 0 +prof il-^ /2] t ^ tci + [profil 0 ] tci soit 
M0(t)=[Vm t ] t ^ tci + [profil 0 ] tci 

ou tci represente les instants critiques, auxquels une 
instruction critique a ete executee. 

De meme, la courbe moyenne de consommation Ml(t) du 
deuxieme paquet correspond a une consommation moyenne 
partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracter istique de la manipulation du bit 
cible a "l" (prof il^ . On peut ecrire : 
Ml(t)=[(prof il 0 +prof il^ /2] t ^ tci + [profilj^i soit 
Ml(t)=[Vm t ] t ^ tci + [profil^tci 

On a vu que les deux profils profil Q et profil 1 ne 
sont pas egaux. La difference des courbes M0(t) et 
Ml(t) donne alors un signal DPA(t) dont 1' amplitude est 
egale a prof il Q -prof i 1 ± aux instants critiques tci 
d' execution des instructions critiques manipulant ce 
bit, c'est a dire, dans l'exemple represente sur la 
figure 1, aux endroits tcO a tc6 et dont 1' amplitude 
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est. a peu pres egale a zero en dehors des instants 
critiques . 

Si 1 'hypothese de sous-cle est fausse, le tri ne 
correspond pas a la realite. Statistiquement , il y a 
alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "0" que de 
courbes ayant vu la manipulation du bit cible a "1". La 
courbe moyenne resultante M0(t) se situe alors autour 
d'une valeur moyenne donnee par (prof il Q +prof il^) /2=Vm, 
car pour chacune des courbes, tous les bits manipules, 
y compris le bit cible ont autant de chances de valoir 
"0" que de valoir "1". 

Le meme raisonnement sur le deuxieme paquet conduit 
a une courbe moyenne de consommation en courant Ml(t) 
dont 1' amplitude se situe autour d'une valeur moyenne 
donnee par (prof il 0 +prof il-^) /2=Vm. 

Le signal DP A ( t) fourni par la difference M0(t)- 
Ml(t) est dans ce cas sensiblement egal a zero. Le 
signal DPA(t) dans le cas d'une hypothese de sous-cle 
fausse est represents sur la figure 2. 

Ainsi l'attaque DPA exploite la difference du 
profil de consommation en courant pendant 1' execution 
d'une instruction suivant la valeur du bit manipule, 
pour effectuer un tri de courbes de consommation en 
courant selon une fonction de selection booleenne pour 
une hypothese de sous-cle donnee. En effectuant une 
analyse dif f erent ielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d ' information DPA(t). 

Le deroulement d'une attaque DPA consiste alors 
globalement: 

a- a tirer N messages aleatoires (par exemple N 
egal 1000) ; 

b- a faire executer l'algorithme par la carte pour 
chacun des N messages aleatoires, en relevant la courbe 
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de consoramation en courant a chaque fois (mesuree sur 
la borne d' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 
d- a predire, pour chacun des messages aleatoires, 
5 la valeur prise par un des bits cibles dont la valeur 
ne depend que des bits du message (d' entree ou de 
sortie) et de la sous-cle prise en hypothese, pour 
obtenir la fonction de selection booleenne; 

e- a trier les courbes selon cette fonction de 
10 selection booleenne (c'est a dire selon la valeur "0" 
ou "1" predite pour ce bit cible pour chaque courbe 
sous 1' hypothese de sous-cle); 

f- a calculer dans chaque paquet la courbe 
resultante de consommation moyenne en courant; 
15 g- a effectuer la difference de ces courbes 

moyennes, pour obtenir le signal DPA(t) . 

Si 1' hypothese sur la sous-cle est juste, la 
fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent reellement aux 
20 courbes pour lesquelles le message applique en entree 
ou en sortie a donne un bit cible a 11 0" dans la carte 
et les courbes du deuxieme paquet correspondent 
reellement aux courbes pour lesquelles le message 
applique en entree ou en sortie a donne un bit cible a 
25 "1" dans la carte. 

On est dans le cas de la figure 1 : le signal 
DPA(t) n'est done pas nul aux instants tcO a tc6 
correspondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible) . 
30 On notera que l'attaquant n'a pas besoin de 

connaitre avec precision les instants critiques. II 
suffit qu'il y ait au moins un instant critique dans la 
periode d' acquisition. 

Si l'hypothese de sous-cle n'est pas juste, le tri 
35 ne correspond pas a la realite et on a alors dans 
chaque paquet autant de courbes correspondant en 



WO 00/27068 



7 



PCT/FR99/02660 



realite a un bit cible a "0" que de courbes 
correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
figure 2). II faut retourner a 1'etape c- et faire une 
nouvelle hypothese sur la sous-cle. 

Si 1' hypothese s'avere juste, on peut passer a 
devaluation d'autres sous-cles, jusqu'a avoir 
reconstitue la cle au maximum. Par exemple, avec un 
algorithme DES, on utilise une cle de 64 bits, dont 
seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles . 

La presente invention a pour but de mettre en 
oeuvre dans un composant electronique , un procede de 
contre-mesure qui entraine un signal DPA(t) nul, meme 
dans le cas ou 1' hypothese de sous-cle est juste. 

De cette fa<?on, rien ne permet de distinguer le cas 
de 1' hypothese de sous-cle juste des cas d' hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
composant electronique est pare contre les attaques 
DPA. 

Mais dans 1' invention, on s'est rendu compte qu'il 
ne suffisait pas de faire en sorte que le signal DPA(t) 
soit nul relativement a un bit cible donne. 

En effet, si on considere la valeur prise par 
plusieurs bits cibles d'une meme donnee manipulee par 
les instructions critiques, on va devoir trier les 
courbes non plus en deux paquets, mais en plusieurs 
paquets. On n'a plus une fonction de selection binaire. 
On peut montrer qu'en regroupant ensuite ces paquets 
d'une maniere ou d'une autre, on peut obtenir un signal 
DPA(t) non nul dans le cas d'une hypothese de sous-cle 
juste, alors qu'il aurait ete nul si l'on aviat trie 
selon une fonction de selection binaire sur un seul bit 
cible . 



WO 00/27068 



8 



PCT/FR99/02660 



Prenons par exemple deux bits cibles d'une meme 
donnee. Ces deux bits cibles peuvent prendre les 2 2 
valeurs suivantes : "00", "01", "10" et "11". 

En appliquant la fonction de selection aux N=1000 
courbes de consommation en courant mesurees, on obtient 
quatre paquets de courbes. Si le tri est juste, un 
premier paquet de 250 courbes environ correspond a la 
valeur "00", un deuxieme paquet de 250 courbes environ 
correspond a la valeur "01", un troisieme paquet de 
250 courbes environ correspond a la valeur "10" et un 
quatrieme paquet de 250 courbes environ correspond a la 
valeur "11". 

Si on regroupe les premier et quatrieme paquets 
dans un premier groupe et les deuxieme et troisieme 
paquets dans un deuxieme groupe, on obtient deux 
groupes qui ne sont pas equivalents. 

Dans le premier groupe, les deux bits ont autant de 
chances de valoir "00" que de valoir "11". La valeur 
moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'ecrire : 
Ml (t ci )=[consommation("00") + consommation ("ll")]/2 

Dans le deuxieme groupe, les deux bits ont autant 
de chances de valoir "01" que de valoir "10". La valeur 
moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'ecrire : 
M2 (t ci )=[consommation("01") + consommation ("10")]/2 

Si on fait la difference entre ces deux moyennes, 
on obtient un signal DPA(t) non nul. En d'autres 
termes, les deux groupes dont on compare les 
consommations moyennes n'ont pas un contenu equivalent. 

Dans 1' invention, on a done cherche a empecher 
1'obtention d'un quelconque signal significatif au sens 
de l'attaque DPA. Quel que soit le nombre de bits 
cibles pris, quelle que soit la combinaison de paquets 
effectuee pour faire la comparaison des consommations 
moyennes, le signal DPA(t) sera tou jours nul. II faut 
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done obtenir des paquets equivalents, quel que soit le 
nombre de bits cibles consideres. 

Une solution a ces differents problemes techniques 
a ete trouvee dans 1 'utilisation d'une valeur aleatoire 
5 dans une operation de OU EXCLUSIF avec 1'une et/ou 
1' autre des donnees d' entree et de sortie de moyens 
utilises dans 1 ' algor ithme . 

Avec une utilisation selon 1' invention d'une telle 
valeur aleatoire, les donnees manipulees par les 
0 instructions critiques deviennent impredictibles tout 
en ayant un resultat juste en sortie de 1 ' algorithme . 

Telle que caracter isee , 1' invention concerne done 
un procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
5 cryptographique a cle secrete, la mise en oeuvre de 
1 ' algorithme comprenant 1 'utilisation de premiers 
moyens pour fournir une donnee de sortie a partir d'une 
donnee d' entree, la donnee de sortie et/ou des donnees 
derivees etant manipulees par des instructions 
0 critiques. Selon 1' invention, le procede de contre- 
mesure prevoit 1 ' utilisation d'autres moyens, en sorte 
que la donnee de sortie et les donnees derivees soient 
impredictibles, ces autres moyens etant obtenus des 
dits premier moyens par une operation de OU EXCLUSIF 
5 avec une valeur aleatoire ou une valeur aleatoire 
derivee sur l'une et/ou sur 1 ' autre des donnees 
d' entree et de sortie des dits premiers moyens* 

D'autres caracter istiques et avantages de 
1' invention sont detailles dans la description suivante 
0 faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que 1 ' on peut obtenir en fonction d'une 
hypothese sur une sous-cle de la cle secrete K, selon 
5 une attaque DPA; 
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- les figures 3 et 4 sont des organigrammes 
detailles des premiers et derniers tours de 
1' algorithme DES; 

- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisee dans 1 ' algorithme DES; 

- la figure 6 montre un exemple de table de 
constantes elementaire a une entree et une sortie 
utilisee dans 1' operation SBOX; 

- la figure 7 represente un premier exemple 
d'organigramme d' execution du DES avec un procede de 
contre-mesure selon 1 ' invent ion ; 

- la figure 8 est un organigramme des premiers 
tours du DES correspondant ; 

- les figures 9 et 10 representent respectivement 
un organigramme d' execution du DES et un organigramme 
detaille des premiers tours, dans un deuxieme mode 
d ' application du procede de contre mesure selon 
1 ' invention; 

- les figures 11 et 12 correspondent a un troisieme 
mode d' application du procede de contre mesure selon 
1 ' invention; 

- la figure 13 represente un organigramme 
d' execution du DES dans une variante du troisieme mode 
d' application; 

- la figure 14 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant electronique 
dans lequel le procede de contre-mesure selon 
1' invention est mis en oeuvre. 

L' algorithme cryptographique a cle secrete DES 
(dans la suite on parlera plus simplement du DES ou de 
1' algorithme DES) comporte 16 tours de calcul, notes Tl 
a T16, comme represente sur les figures 3 et 4. 

Le DES debute par une permutation initiale IP sur 
le message d ' entree M (figure 3) ♦ Le message d' entree M 
est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que 1 ' on coupe en deux pour former 
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les parametres d' entree LO et RO du premier tour (Tl) . 
LO est un mot d de 32 bits contenant les 32 bits de 
poids forts du mot e. RO est un mot h de 32 bits 
contenant les 32 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend une operation EXP PERM sur 
le parametre RO , consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
bits. 

Ce mot 1 est combine a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits. Le parametre Kl qui est un mot m 
de 4 8 bits est obtenu du mot r par un decalage d'une 
position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 
notee COMP PERM) . 

Le mot b est applique a une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits. 
Cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6 . 

Le mot a subit une permutation P PERM , donnant en 
sortie le mot c de 3 2 bits. 

Ce mot c est combine au parametre d' entree LO du 
premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d' entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d' entree Rl du tour suivant. 
Le mot p du premier tour fournit 1' entree r du tour 
suivant. 

Les autres tours T2 a T16 se deroulent de fa<?on 
similaire, excepte en ce qui concerne 1' operation de 



WO 00/27068 



12 



PCT/FR99/02660 



decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti regoit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
parametres Li et Ri et r pour le tour suivant Ti+1 * 

En fin d'algorithme DES (figure 4) , le message 
chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots L16 et R16, puis en les concatenant; 

- application de la permutation IP" 1 inverse de 
celle de debut de DES, pour obtenir le mot f de 64 
bits formant le message chiffre C. 

L ' operation SBOX est detaillee sur les figures 5 et 
6, Elle comprend une table de constantes TC Q pour 
fournir une donnee de sortie a en fonction d'une donnee 
d' entree b. 

En pratique, cette table de constantes TC Q se 
presente sous la forme de huit tables de constantes 
elementaires TC Q 1 a TCq8, chacune recevant en entree 
seulement 6 bits du mot b, pour fournir en sortie 
seulement 4 bits du mot a. 

Ainsi, la table de constante elementaire TC Q 1 
representee sur la figure 6 regoit comme donnee 
d' entree, les bits bl a b6 du mot b et fournit comme 
donnee de sortie les bits al a a4 du mot a. 

En pratique ces huit tables de constantes 
0 elementaires TC Q 1 a TC Q 8 sont memorisees en memoire 

programme du composant electronique. 

Dans 1' operation SBOX du premier tour Tl, un bit 
particulier de la donnee a de sortie de la table de 
constante TC Q depend de seulement 6 bits de la donnee b 
5 appliquee en entree, c'est a dire de seulement 6 bits 

de la cle secrete K et du message d 1 entree (M) . 
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Dans 1' operation SBOX du dernier tour T16, un bit 
particulier de la donnee a de sortie de la table de 
constante TC Q peut etre recalcule a partir de seulement 
6 bits de la cle secrete K et du message chif fre (C) . 

Or si on reprend le principe de l'attaque DPA, si 
on choisit un ou des bits de la donnee de sortie a 
comme bits cibles, il suffit de faire une hypothese sur 
6 bits de la cle K, pour predire la valeur du ou des 
bits cibles pour un message d' entree (M) ou de sortie 
(C) donne. En d'autres termes, pour le DES, il suffit 
de faire une hypothese sur une sous-cle de 6 bits, 

Dans une attaque DPA sur un tel algorithme pour un 
ensemble de bits cibles donne issu d'une table de 
constantes elementaire donnee, on a done a discriminer 
une hypothese de sous-cle juste parmi 64 possibles. 

Ainsi, a partir des bits de sortie des huit tables 
de constantes elementaires TC Q 1 a TC Q 8 , on peut 
decouvrir jusqu'a 8x6=48 bits de la cle secrete, en 
faisant des attaques DPA sur des bits cibles 
correspondants . 

Dans le DES , on trouve done des instructions 
critiques au sens des attaques DPA au debut de 
1' algorithme et a la fin. 

Au debut de 1' algorithme DES, les donnees qui- 
peuvent etre predites a partir d'un message d' entree M 
et d'une hypothese de sous-cle, sont les donnees a et g 
calculees dans le premier tour (Tl) . 

La donnee a du premier tour Tl (figure 3) est la 
donnee de sortie de 1' operation SBOX du tour considere. 
La donnee g est calculee a partir de la donnee a, par 
permutation (P PERM) et operation OU EXCLUSIF avec le 
parametre d' entree L0 - 

En fait, la donnee c du premier tour, est une 
donnee derivee de la donnee a du premier tour. La 
donnee derivee c correspond a une simple permutation de 
bits de la donnee a. 
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La donnee 1 du deuxieme tour est une donnee derivee 
de la donnee g du premier tour, car elle correspond a 
une permutation des bits du mot g, certains bits du mot 
g etant en outre dupliques. 

Connaissant a et g, on peut aussi connaitre ces 
donnees derivees . 

Les instructions critiques du debut de 1 ' algor ithme 
sont les instructions critiques qui manipulent soit la 
donnee que l'on peut predire, comme la donnee a ou la 
donnee g du premier tour, soit une donnee derivee. 

Les instructions critiques manipulant la donnee a 
du premier tour Tl ou la donnee derivee c sont ainsi 
les instructions de fin de 1 ' operation SBOX, de 
1' operation P PERM et de debut de 1' operation XOR du 
premier tour Tl. 

Les instructions critiques manipulant la donnee g 
ou des donnees derivees sont toutes les instructions de 
fin d' operation XOR de fin du premier tour Tl jusqu'aux 
instructions de debut d' operation SBOX du deuxieme tour 
T2, et les instructions de debut de 1' operation XOR en 
fin du troisieme tour T3 ( L2 = h(T2) = g(Tl) ). 

En fin d'algorithme DES, les donnees qui peuvent 
etre predites a partir d'un message chiffre C et d'une 
hypothese de sous-cle, sont la donnee a du seizieme 
tour T16 et la donnee L15 egale au mot h du quatorzieme 
tour T14 . 

Les instructions critiques manipulant la donnee a 
du seizieme tour ou des donnees derivees sont les 
instructions du seizieme tour de fin d 7 operation SBOX, 
de 1' operation de permutation P PERM et de debut 
d' operation XOR. 

Pour la donnee L15, les instructions critiques 
manipulant cette donnee ou des donnees derivees sont 
toutes les instructions depuis les instructions de fin 
d' operation XOR en fin du quatorzieme tour T14 , 
jusqu'aux instructions de debut d' operation SBOX du 
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quinzieme tour T15, plus les instructions de debut 
d' operation XOR en fin de seizieme tour T16. 

Lie procede de contre-mesure selon 1' invention 
applique a cet algorithme DES consiste a rendre 
impredictible chacune des donnees manipulees par les 
instructions critiques. Ainsi, quel que soit le ou les 
bits cibles utilises/ le signal DPA(t) sera toujours 
nul . 

En ce qui concerne 1 ' application du procede de 
contre-mesure selon 1' invention a 1 ' algorithme DES, il 
faut done appliquer la contre-mesure aux instructions 
critiques de debut de DES et aux instructions critiques 
de fin de DES, pour etre totalement protege. 

Dans le DES, toutes les donnees manipulees par des 
instructions critiques sont une donnee de sortie ou des 
donnees derivees d'une donnee de sortie d'une operation 
SBOX, 

En effet, en debut de DES, les donnees qui peuvent 
etre predites sont les donnees a et g du premier tour 
Tl . La donnee a est la donnee de sortie de 1' operation 
SBOX du premier tour. La donnee g est calculee a partir 
de la donnee a, puisque g = P PERM (a) XOR LO . g est 
done une donnee derivee de la donnee de sortie a de 
1' operation SBOX du premier tour. Ainsi, toutes les 
donnees manipulees par les instructions critiques de 
debut de DES decoulent directement ou indirectement de 
la donnee de sortie a de 1' operation SBOX du premier 
tour . 

En ce qui concerne la fin de DES, les donnees qui 
peuvent etre predites sont la donnee a du seizieme tour 
T16 et la donnee g du quatorzieme tour T14 , g etant 
egale a LIS . 

La donnee a est la donnee de sortie de 1' operation 
SBOX du seizieme tour T16. 

Quant a la donnee L15, elle se calcule, dans 
1' execution normale de 1' algorithme DES, a partir de la 
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donnee de sortie a de 1' operation SBOX du quatorzieme 
tour T14 : L15 = P PERM (a) XOR L14 . 

Si on rend impredictibles les donnees de sortie a 
de ces operations SBOX part iculieres , on rend aussi 
impredictibles toutes les donnees derivees : on rend 
done impredictibles toutes les donnees manipulees par 
les instructions critiques de l'algorithme DES. Si on 
considere que ces operations SBOX constituent des 
premiers moyens pour fournir une donnee de sortie S=a a 
partir d'une donnee d' entree E=b, le precede de contre- 
mesure applique a l'algorithme DES consiste a utiliser 
d'autres moyens pour rendre impredictibles la donnee de 
sortie, en sorte que cette donnee de sortie et/ou des 
donnees derivees manipulees par les instructions 
critiques soient toutes impredictibles, 

Ces autres moyens peuvent comprendre differents 
moyens. lis sont calcules a partir des premiers moyens 
en appliquant un OU exclusif avec une valeur aleatoire 
ou une valeur aleatoire derivee sur l'une et/ou sur 
1' autre des donnees d' entree et de sortie des premiers 
moyens . 

L'utilisation de cette valeur aleatoire est telle 
que le resultat en sortie, e'est a dire, le message 
chiffre reste juste. 

La figure 7 represente un premier mode de 
realisation de 1' invention. Dans ce mode de 
realisation, on repartit les seize tours de 
l'algorithme DES en quatre groupes Gl a G4 de quatre 
tours successifs. Le groupe Gl comprend ainsi les tours 
Tl a T4 , le groupe G2 , les tours T5 a T8, le groupe G3 , 
les tours T9 a T12 et le groupe G4 , les tours T13 a 
T16 . 

Dans une execution classique de l'algorithme DES, 
on a vu que chaque tour comprend l'utilisation de 
premiers moyens TC Q dans une operation SBOX. 
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Dans le premier mode d' application du procede de 
contre-mesure, on calcule d' autres moyens en faisant un 
OU EXCLUSIF avec une valeur aleatoire u et/ou avec une 
valeur derivee e(p(u)) sur l'une et/ou 1 ' autre des 
donnees d' entree et de sortie des premiers moyens TC Q . 
Puis on applique une sequence SEQA d' execution 
identique sur chaque groupe, qui consiste a utiliser 
ces autres moyens calcules. 

Selon 1' invention, on utilise une valeur aleatoire 
u qui est une donnee de 3 2 bits. On peut par exemple 
tirer une valeur aleatoire de 32 bits, ou bien tirer 
une valeur aleatoire de 4 bits et les recopier 8 fois 
pour obtenir la valeur aleatoire u sur 32 bits. 

On calcule alors la variable derivee egale a 
e(p(u)), ou p(u) correspond au resultat de 1' operation 
P PERM appliquee sur la valeur u et ou e(p(u)) est le 
resultat de 1' operation EXP PERM appliquee a la valeur 
p(u) . 

On peut alors calculer les autres moyens utilises 
dans 1' invention. 

Dans 1' exemple represents en reference a la figure 
7, ces autres moyens comprennent des deuxiemes moyens 
TC 2 et des troisiemes moyens TC 1 . 

Les deuxiemes moyens TC 2 sont utilises dans le 
deuxieme tour et 1 ' avant-dernier tour de chaque 
groupe : c'est a dire, dans T2 , T3 de Gl, T6 , T7 de G2 , 
T10, Til de G3 et T14 et T15 de G4 . 

Les deuxiemes moyens TC 2 sont utilises dans le 
deuxieme tour et 1 ' avant-dernier tour de chaque 
groupe : c'est a dire, dans T2 , T3 de Gl, T6, T7 de G2 , 
T10, Til de G3 et T14 et T15 de G4 . 

Les deuxiemes moyens TC 2 sont calcules en 
appliquant un OU EXCLUSIF avec la variable aleatoire 
derivee e(p(u)) sur la donnee d'entree E et en 
appliquant un OU EXCLUSIF avec la valeur aleatoire u 



WO 00/27068 



18 



PCT/FR99/02660 



sur la donnee de sortie S des premiers moyens TC Q , ce 
qui peut s'ecrire : TC 2 = (E®s (p (u) ) , S®u) . 

Les troisiemes moyens TC 1 sont utilises dans le 
premier tour et le dernier tour de chaque groupe. C'est 
a dire dans Tl, T4 de Gl, T5 , T8 de G2 , T9 , T12 de G3 
et T13 , T16 de G4 . 

Les troisiemes moyens TC^ sont calcules en 
appliquant un OU EXCLUSIF avec la variable aleatoire u 
sur la donnee de sortie S des premiers moyens TC Q/ ce 
qui peut s'ecrire : TC 1 =(E / S®u) . 

Le programme de calcul consiste alors au debut de 
1' execution de 1 ' algorithme , a tirer une valeur 
aleatoire u, dans l'exemple sur 4 bits, a calculer la 
variable aleatoire derivee e(p(u)), puis a calculer les 
differents moyens utilises dans la sequence d' execution 
SEQA . Dans l'exemple, il faut calculer les deuxiemes et 
troisiemes moyens TC 2 et TC 1 . 

On obtient, a la sortie de chaque groupe, le 
resultat juste pour les parametres de sortie. Ainsi, 
les parametres de sortie L4 et R4 du premier groupe Gl, 
L8 et R8 du deuxieme groupe G2 , L12 et R12 du troisieme 
groupe G3 , L16 et R16 du quatrieme groupe G4 sont 
justes quelle que soit la variable aleatoire tiree, 

Quand on a effectue tous les tours, on obtient lea 
parametres justes L16 et R16 qui vont permettre de 
calculer le message chiffre C juste. 

Par contre, a 1' inter ieur des groupes, certains 
resultats intermediaires n'ont pas les memes valeurs 
selon la sequence utilisee, mais des valeurs 
correspondant a 1' operation OU EXCLUSIF avec la valeur 
aleatoire u ou avec la valeur aleatoire derivee 
e (P( u )>/ comme on va le montrer par reference aux 
figures 3 et 8 . 

La figure 8 montre 1 ' organigramme detaille des 
quatre tours Tl, T2 , T3 et T4 du premier groupe Gl, 
dans la sequence SEQA d' execution selon 1' invention. 
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Dans cette sequence, le tour Tl utilise les 
troisiemes moyens TC^. En sortie de 1' operation SBOX, 
on obtient done la donnee modifiee aleatoirement a€Bu 
(Figure 8) , au lieu de la donnee a selon la sequence 
normale du DES, e'est a dire sans contre-mesure (Figure 
3) . 

Avec la sequence SEQA d' execution selon 
1' invention, l'operation P PERM du premier tour Tl qui 
est une simple permutation va done egalement fournir en 
sortie une donnee modifiee aleatoirement egale a 
c<£f (u) . 

La donnee qui est obtenue par l'operation XOR entre 
une donnee c3^>(u) et la donnee LO , va aussi fournir en 
sortie une donnee modifiee aleatoirement g£Bt>(u) , Cette 
donnee appliquee a l'operation EXP PERM va fournir en 
sortie la donnee modifiee aleatoirement notee 

l©a(p(u) ) • 

Ainsi, avec les troisiemes moyens du tour Tl on 

obtient toutes les donnees modifiees aleatoirement 
suivantes : 

- dans le tour Tl : a®u, c%)(u), g%>(u); 

-dans le tour T2 : Rl%>(u), h^>(u), l©a(p(u), 
b©s(p(u) ; 

- dans le tour T3 : L2(Bp(u) . 

On arrive alors aux deuxiemes moyens TC 2 utilises 
dans le tour T2 . D'apres leur definition : E©s(p(u), 
S®u, en appliquant en entree la donnee modifiee 
aleatoirement b©a(p(u) , on obtient en sortie la donnee 
modifiee aleatoirement affiu. En conduisant ce 
raisonnement jusqu'a la fin du tour T4 , et en 
remarquant que p (u) (u) =0 , on obtient en sortie du 
tour T4 , les donnees L4 , R4 non modifiees. 

En outre, on constate que pour toutes les 
instructions critiques de debut de DES, les 
instructions critiques vont manipuler, des donnees 
modifiees de maniere aleatoire. 
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Avec un tel procede de contre-mesure, on doit 
prevoir en debut de DES le tirage de la valeur 
aleatoire u et le calcul des moyens utilises dans la 
sequence d'execution SEQA . Ces moyens calcules a chaque 
execution du DES, sont memorises, le temps de 
1' execution, en memoire de travail, les premiers moyens 
TCq qui servent au calcul etant eux memorises en 
memoire programme . 

En revenant a la figure 7, on pourra noter, que 
l'on n'a pas besoin de contre-mesure dans les groupes 
du milieu G2 et G3 , puisqu'ils ne contiennent pas 
d ' instructions critiques au sens attaque DPA. On 
pourrait done n'appliquer la sequence d'execution SEQA 
du procede de contre-mesure qu'au premier et au dernier 
groupe Gl et G4 . II suffirait d'utiliser ensuite les 
premiers moyens (TC Q ) dans les groupes G2 et G3 • 

Mais le fait de d'appliquer le procede de contre- 
mesure a tous les groupes donne une coherence a 
1 ' ensemble . 

Ainsi, on applique la sequence SEQA a chacun des 
groupes Gl a G4 . 

Un deuxieme mode de realisation du procede de 
contre-mesure est representee sur la figure 9. Ce 
deuxieme mode de realisation est en fait une variante 
du premier. 

L'interet de cette variante est de n'utiliser comme 
autres moyens dans la sequence SEQA, que les deuxiemes 
moyens TC 2 . En effet, on a vu que les differents moyens 
TC Q , TC^, TC 2 correspondent en pratique a des tables de 
constantes comprenant chacune huit tables de constantes 
elementaires, qu'il faut recalculer en ce qui concerne 
les moyens TC 1 et TC 2 a chaque nouvelle execution du 
DES, et garder en memoire de travail. 

Cette variante consiste done a utiliser uniquement 
les deuxiemes moyens TC 2 dans la sequence SEQA. Pour 
cela, on prevoit dans le programme de calcul des 
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premiers et derniers tours de chaque groupe, une 
operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire derivee e(p(u)), pour obtenir en 
entree des deuxiemes moyens la donnee b©a(p(u)). On 
note cette operation CP(e(p(u))) sur les figures- Si on 
se reporte a la figure 10 representant l'organigramme 
detaille de la sequence SEQA d' execution des quatre 
tours Tl a T4 du premier groupe Gl, il s'agit done 
d'appliquer en entree de 1' operation SBOX des tours Tl 
et T4 une variable b©s(p(u)). reoperation 
supplementaire CP plus les deuxiemes moyens TC 2 
equivalent aux troisiemes moyens TC 1 utilises dans le 
premier mode de realisation de 1' invention. 

On y gagne en temps de calcul, car 1' operation CP 
n'est executee que deux fois dans un groupe, soit 8 
fois pour une sequence SEQA complete sur les quatre 
groupes, alors que le calcul d'une table necessite de 
faire cette operation b£te(p(u)) pour toutes les donnees 
d' entree de cette table. 

On notera que 1' operation OU EXCLUSIF 
supplementaire CP avec la variable e(p(u)) peut etre 
placee en divers endroits des premiers et derniers 
tours, soit entre 1' operation EXP PERM et 1' operation 
XOR ou entre 1' operation XOR et 1' operation SBOX. 

On peut aussi remarquer que l'on peut utiliser une 
operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire derivee p(u), en plagant cette 
operation supplementaire CP(p(u) avant 1' operation EXP 
PERM. On obtient en sortie l<Sfe(p(u)), et done on aura 
ensuite b©s(p(u)). 

Dans tous ces cas de figures, on obtient la donnee 
bffie(p(u)) en entree de l'operation SBOX. 

La figure 11 represente un troisieme exemple de 
realisation d'un procede de contre-mesure selon 
1 ' invention. 
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Dans ce mode de realisation, on forme un premier 
groupe Gl avec les trois premiers tours Tl , T2 , T3 et 
un autre groupe G4 avec les trois derniers tours T14 , 
T15, T16. On applique sur chaque groupe la sequence 
5 d' execution SEQA avec les autres moyens pour certains 
tours au moins. 

Pour les autres tours non compris dans les groupes, 
c'est a dire pour les tours T4 a T13 , on applique les 
premiers moyens TC Q . 
10 En sortie de chaque groupe Gl, G4 , on obtient le 

bon resultat en sortie L3 , R3 et L16, R16, quelle que 
soit la variable aleatoire u tiree. 

Les autres moyens sont dans 1'exemple les 
troisiemes moyens TC ± deja vus en relation avec le 
15 premier mode de realisation et des quatriemes moyens 

TC 3. 

Ces quatriemes moyens sont calcules par rapport aux 
premiers moyens TC Q en appliquant un OU EXCLUSIF sur la 
donnee E d' entree, avec la variable aleatoire derivee 

20 e(p(u)). 

Ainsi, apres avoir tire la valeur aleatoire u, et 
calcule la variable aleatoire derivee, on calcule les 
differents moyens utilises dans la sequence d' execution 
SEQA . Puis on applique cette sequence SEQA sur lq 

25 premier groupe. On obtient en sortie les parametres L3 , 
R3. On execute les tours suivants T4 a T13 avec les 
premiers moyens TC Q . En fin de tour T13 , on applique la 
sequence SEQA sur le groupe G4 . On obtient les 
parametres L16, R16 qui vont servir a calculer le 

30 message chiffre C. 

La figure 12 est un organigramme detaille 

cor respondant . 

II apparait clairement sur cet organigramme que 
l'on obtient des donnees modifiees aleatoirement pour 
3 5 toutes les instructions critiques de ces tours. Les 
donnees L3 et R3 en sortie du troisieme tour ne sont 



WO 00/27068 



23 



PCT/FR99/02660 



pas modifiees, ce qui permet de continuer 1' execution 
de 1 'algorithme, en passant au tour T4 auquel on 
applique les premiers moyens TC Q selon 1 ' execution 
normale de 1 ' algorithme . 

Sur cette figure, on peut remarquer que dans 
1' operation SBOX du troisieme tour T3 , on pourrait 
utiliser les premiers moyens TC Q a la place des 
troisiemes moyens calcules TC^, en prevoyant une 
operation OU EXCLUSIF supplementaire CP en sortie de 
1' operation SBOX, pour faire un OU exclusif de la 
sortie avec la variable aleatoire u, pour obtenir la 
donnee a€u en entree de 1' operation XOR. C'est une 
solution equivalente . 

La figure 13 represente un organigramme d' execution 
utilisant cette variante. Pour le troisieme tour des 
deux groupes Gl et G4 , on utilise dans la sequence 
d' execution SEQA, les premiers moyens TC Q suivis en 
sortie de 1 ' instruction OU EXCLUSIF supplementaire avec 
la variable u, ce qui est note T3(TC Q , CP(u)). 

De maniere generale, dans le procede de contre- 
mesure selon 1' invention, on peut done prevoir dans la 
sequence d' execution SEQA et pour un ou plusieurs 
tours, une instruction OU EXCLUSIF supplementaire CP en 
entree ou en sortie des moyens utilises avec la 
variable u ou une variable aleatoire derivee p(u) ou 
e(p(u)) selon les cas. 

La presente invention s' applique a 1' algorithme de 
cryptographie a cle secrete DES, pour lequel plusieurs 
exemples d' application non limitatifs ont ete decrits- 
II s' applique plus generalement a un algorithme de 
cryptographie a cle secrete a seize tours de calculs, 
dont les instructions critiques se situent parmi les 
instructions des trois premiers ou trois derniers 
tours . 

Un composant electronique 1 mettant en oeuvre un 
procede de contre-mesure selon 1' invention dans un 
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algorithme de cryptographie a cle secrete DES, comprend 
typiquement, coxnme represents sur la figure 10, un 
microprocesseur ]iP , une memoire programme 2 et une 
memoire de travail 3. Pour pouvoir gerer l'utilisation 
5 des differents moyens TC Q , TC ±f TC 2 selon 1' invention, 
qui sont, en pratique, des tables de constantes 
memorisees en memoire programme, des moyens 4 de 
generation d'une valeur aleatoire entre 0 et 1, sont 
prevus qui, si on se reporte aux organigrammes des 
10 figures 7 et 11, fourniront la valeur aleatoire u a 
chaque execution du DES. Un tel composant peut tout 
particulierement etre utilise dans une carte a puce 5, 
pour ameliorer son inviolabilite . 
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REVINDICATIONS 

1. Procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secrete (K) , la mise en oeuvre de 
1' algorithme comprenant 1 'utilisation de premiers 
moyens (TC Q ) pour fournir une donnee de sortie (S) a 
partir d'une donnee d'entree (E) , la donnee de sortie 
et/ou des donnees derivees etant manipulees par des 
instructions critiques, caracterise en ce que le 
procede de contre-mesure prevoit 1 ' uti 1 isation d' autres 
moyens (TC-^) , en sorte que la donnee de sortie et les 
donnees derivees soient impredictibles , ces autres 
moyens etant obtenus des dits premier moyens par une 
operation de OU EXCLUSIF avec une valeur aleatoire (u) 
ou une valeur aleatoire derivee (e(p(u))) sur l'une 
et/ou sur 1' autre des donnees d'entree et de sortie des 
dits premiers moyens. 

2 . Procede de contre-mesure selon la revendication 
1, la mise en oeuvre de 1' algorithme comprenant seize 
tours de calcul (Tl, ■ . . ,T16) , chaque tour utilisant 
des premiers moyens (TC Q ) pour fournir une donnee de 
sortie a partir d'une donnee d'entree, la donnee de 
sortie et/ou des donnees derivees etant manipulees par 
des instructions critiques dans les trois premiers (Tl, 
T2, T3) et les trois derniers tours (T14, T15, T16) , 
caracterise en ce que 1'on forme un groupe (Gl) 
comprenant les trois premiers tours au moins et un 
autre groupe (G4) comprenant les trois derniers tours 
au moins, et en ce que 1 ' on associe au premier groupe 
(Gl) et au dernier groupe (G4) une sequence d'execution 
(SEQA) utilisant les autres moyens (TC^ TC 2 ) dans 
certains tours au moins. 
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3 . Procede de contre-mesure selon la revendication 

2, caracterise en ce que l'on forme quatre groupes 
(G1,...G4) de quatre tours successifs chacun (T1,...T4) 
et , en ce que l'on applique au moins au premier groupe 
(Gl) et au dernier groupe (G4) la dite sequence 
d' execution (SEQA) . 

4 . Procede de contre-mesure selon la revendication 

3, caracterise en ce que la dite sequence (SEQA) est 
executee dans chacun des groupes (G1,...G4). 

5 . Procede de contre-mesure selon la revendication 
2, caracterise en ce que la dite sequence d' execution 
(SEQA) est appliquee a un premier groupe (Gl) forme des 
trois premiers tours (Tl, T2 , T3) et a un dernier 
groupe forme des trois derniers tours (T14 , T15, T16) . 

6. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce que 
chaque execution de l'algorithme comprend le tirage 
d'une valeur aleatoire (u) , et le calcul des autres 
moyens . 

7* Procede de contre-mesure selon l'une quelconque- 
des revendications precedentes, caracterise en ce que 
les differents moyens sont des tables de constantes. 

8. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce que 
les differents moyens sont utilises en combinaison avec 
une operation OU exclusif supplementaire (CP) avec la 
valeur aleatoire ou une valeur derivee (p(u), e(p(u))). 
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9. Composant electronique de securite mettant en 
oeuvre le procede de contre-mesure selon I'une 
quelconque des revendications precedentes, caracterise 
en ce que les premiers moyens (TC 0 ), pour fournir une 
donnee de sortie a partir d'une donnee d' entree sont 
fixes en memoire programme (1) du dit composant, les 
autres moyens (TC X/ " TC 2 ) etant calcules a chaque 
nouvelle execution de 1'algorithme et memorises en 
memoire de travail (3) et en ce qu'il comprend des 
moyens (4) de generation d'une valeur aleatoire (u) 
pour calculer les dits autres moyens. 

10. Carte a puce comprenant un composant 
electronique de securite selon la revendication 9. 



1 



K(USP T0) 



WO 00/27068 



PCT/FR99/02660 



1/12 



-o 



If) 

-o 




CM 

o 



=f-rH 

O 



PL, 

Q 



1 



(HIS PAGE BLANK (uspto) 



WO 00/27068 



PCT/FR99/02660 



2/12 



CV2 



*'S PAGE BLANK (uspto) 



WO 00/27068 



PCT/FR99/02660 



LO 



jO 

JO 



3/12 



--e 



Rp 



Tl 




h(32) 



EXP PERM | 



-- 1(48) 



XOR 



Kl 



+ b(48) 





SBOX 


[Tco] 


+ a(32) 




P PERM | 




- c(32) 


XOR 1 



TC 0 (ES) 



-Rl 



gj32) 



m 

KEY PERM 



-r(56) 



SHIFT 

p(56>^ — 
COMP PERM I 

—^r — 



m(48) 



+ 



T2 




EXP PERM | 



XOR 



K2 



SBOX [Tc 0 ]~l 





P PERM | 




- C 


s X0R 



-R2- 



I 



SHIFT 



COMP PERM] 



T3 




EXP PERM 1 



XOR h 



K3 





SBOX 


[Tco] 


+ a 




P PERM | 




- c 


* XOR | 



I 



SHIFT 



HE 



COMP PERM 



EXP PERM | 
+ 1 



T4 



XOR I — 

y , 

SBOX [Tc 0 ] I 
+ « 

PERM 1 
-\- c 

XOR I 
+ 9 



K4 



SHIFT 



COMP PERM 



T5 



FIG.3 



miB mOE BLANK (uspto) 



WO 00/27068 



PCT/FR99/02660 



4/12 



T12 



T13 



T14 




T15 



T16 



THIS PAGE BUNK (uspto, 



WO 00/27068 



PCT/FR99/02660 



5/12 



bl b3 b5 



b2 



b4 



b6 



b43 b45 b47 



b44 



b46 
i 



b48 



TC 0 1 



TC 0 al a2 a3 a4 



o o o 



TC 0 8 



a30 _ 
a29 a31 



a32 



FIG.5 



TC 0 K 


E=blb2b3b4b5b6 


S=ala2a3a4 




000000 


1101 


FIG .6 


000001 

o 
e 


0101 

• 
o 




o 

111111 


e 

1010 




FIG.14 



THIS PAGE BLANK (uspto) 



WO 00/27068 



PCT/FR99/02660 



6/12 



(M.K) 



Tirage de la valeur aleatoire 

u 

Calcul de e(p(u)) 



G4 



CALCUL DE 
TC X =E,S©u 
TC 2 =E0e(p(u)),S0u 



L0.R0 



SEQA[TCi ,TC 2 ] 



Tl (TC X ) 
T2(TC 2 ) 
T3 (TC 2 ) 
T4(TC 1 ) 



L4.R4 



SEQA[TCi ,TC 2 ] 



T5(TC X ) 
T6(TC 2 ) 
T7(TC 2 ) 
T80TC!) 



,8,R8 



SEQA[TCi ,TC 2 ] 



T9 (TC X ) 
T10(TC 2 ) 
Til (TC 2 ) 
T12(TC X ) 



L12.R12 



SEQA[TCi ,TC 2 ] 



T13CTC3L) 
T14(TC 2 ) 
T15(TC 2 ) 
TieCTCi) 



L16.R16 



Calcul du 
message chiffre 



FIG.7 



PAGE BLANK (USPTO) 



WO 00/27068 



PCT/FR99/02660 




7/12 



bQP(o ) 
EXP PERM 
-f l®e(p(n)) 



— b©e(p(u)) 



SBOX [Tc2] 
+ a©n' 
P PERM 



c©p{u) 
□ 



L20PO) 



R2©p(u)4 -, 



g©p(o)_ _ 

hep( o) 
EXP PERM | 
-f l©ej p(a)) 



T3 



:i q 

KEY PERM I 



--r 



SHIFT | 



Kl 



COMP PERM 



+ 



TC X (E,S0u) 



K2 



SHIFT 1 



COMP PERM 



TC 2 (E0e(p(u)),S©u) 




SHIFT \ 



K3 



COMP PERM 



TC 2 (E © e(p(u)),S © u) 



L3©p(u) 



K4 



SHIFT I 



COMP PERM 



+ 



T4 



TCx (E.S.© u) 



FIG.8 



THIS PAGE BLANK (uspto) 



WO 00/27068 



PCT/FR99/02660 



8/12 



(M,K) 



Tirage de la valeur aleatoire 
u 



CALCUL DE e(p(u)) 
CALCUL DE TC 2 =(E0e(p(u)),S0u) 



Gl 



G2. 



G3. 



G4 



L0,R0 



SEQA[TC 2 ,CP(e(p(u)))] 



Tl (CP,TC 2 ) 
T2(TC 2 ) 

T3(TC 2 ) 
T4(CP,TC 2 ) 



L4.R4 



SEQA[TC 2 ,CP(e(p(u)))] 



T5(CP,TC 2 ) 
T6(TC 2 ) 

T7(TC 2 ) 
T8(CP,TC 2 ) 



L8.R8 



SEQA[TC 2 ,CP(e(p(u)))] 



T9 (CP,TC 2 ) 
T10(TC 2 ) 
T11(TC 2 ) 
T12(CP,TC 2 ) 



L12.R12 



SEQA[TC 2 ,CP(e(p(u)))] 



T13(CP,TC 2 ) 
T14(TC 2 ) 
T15(TC 2 ) 
T16(CP,TC 2 ) 



L16.R16 



Calcul du 
message chiffre 
C 



FIG.9 



THIS PAGE BLANK (uspto) 



WO 00/27068 



PCT/FR99/02660 



FIG.10 



9/12 



LO 



3L 
ip 



Tl 




RO 

. 

EXP PERM 

I XOR h 

Tb 
CP(e(p(u))) , 

+b©e(p(n)) 



rw 



K 



3 ERM I 



--r 



Kl 



SHIFT 
P-t- 

COMP PERM] 



SBOX [Tc2] 
+a©n" 



] TC 2 (E@e(p(u)),Seu) 



PERM 1 
+c©P(n ) 



LI 



Rl©p(u)-j^ 

/ T t 



XOR I 



T2 




gepW_ 

hepjp) 

EXP perm] 
•j- l®e( p(u)) 



SHIFT 



XOR 



P-- 



--b©e(p(n)) 



K2 



COMP PERM 



SBO X [Tc2] 



P PERM | 



TC 2 (E©e(p(u)),S©u) 



L2©p(u) 



x 1 XOR 

R2©p(u)-j j 

fnW Tt 



c©p(u) 
] 



T3 




g®p(u)_ _ 
hep(q ) 

EXP PERM 1 

ileej pfti)) 
XOR I - 



SHDT 



P-- 



K3 



COMP PERM 



4-b©e|p( n)) 

SBOX [Tc2] 1 ■ 

p pjff' , TC 2 (E 0 e(p(u)),S 0 u) 



-- c©p(n) 



XOR 



L3©p(u) 



EXP PERM I 
— 3i 



T4 



T5 




^F- 



SHIFT | 



P-- 



K4 



COMP PERM 



TC 2 (E©e(p(u)),S0u) 



THIS PAGE BLANK (uspto) 



WO 00/27068 



PCT/FR99/02660 



10/12 



(M,K) 



Tirage de la valeur aleatoire 
u 

Calcul de e(p(u)) 



Gl 



G4 



CALCUL DE 
TC X =E,S©u 
TC 3 =E©e(p(u)).S 



L0.R0 



SEQA[TCi ,TC 3 ] 



Tl (TCi ) 
T2(TC 3 ) 
T3 (TC^ ) 



L3.R3 



T4(TC 0 ) 
T13(TC 0 ) 



L13.R13 



SEQA[TCi ,TC 3 ] 



T^CTCi) 
T15(TC 3 ) 
TlGCTCi) 



L16.R16 



Calcul du 
message chiffre 
C 



FIG.11 



fHIS PAGE BLANK (usptoj 



PCT/FR99/02660 



nrn 
If 

no 

--e 



11/12 



RO 

— -j-h ~ 
EXP PERM 



m 

KEY PERM I 
SHIFT { 



-- 1 



XOR h 



Kl 



COMP PERM 



SBOX [Tel] I 



TCx =E,S© U 



-f aen 



P PERM | 



-- c©p(u) 



XOR I 

g©?|o!_ 
hep(o ) 

EXP PERM \ 
+ leejpfrl) 



XOR 



K2 



SHIFT 
"EE 



COMP PERM | 



+ b®e(p (u)) 
SBOX [Tc3] 1 



P PERM | 



TC 3 =(E©e(p(u)),S) 



-- c 



XOR 1 



-R2- 



I 



EXP PERM I 
XOR h 



SHIFT | 



K3 



COMP PERM | 



SBO X [Tel] ~| 
4- a®tt 



TCi =E,S ©u 



P PERM I 



XOR | 



-R3- 



1 



EXP PERM | 
XOR h 



SHIFT 



K4 



COMP PERM) 



±L 



SBOX [Tco] 

+ » , 
P PERM I 

-f C 

- XOR | 



TC 0 =E,S 



-R4 



-- g 



FIG.12 



THIS PAGE BLANK (uspto) 



J 



WO 00/27068 



12/12 



PCT/FR99/02660 



(M,K) 



Tirage de la valeur aleatoire 
u 

Calcul de la derivee e(p(u)) 



Gl 



G4 



CALCUL DE 
TCi =E,S© u 
TC 3 =E©e(p(u)),S 



L0.R0 



SEQA[TCi ,TC 3 ,TC 0 ,Cp(u)] 



Tl (TCi ) 
T2 (TC 3 ) 
T3 (TC 0 ,CP) 



L3.R3 



T4(TC 0 ) 
T13(TC 0 ) 



L13.R13 



SEQA[TCi ,TC 3 ,TC 0 ,Cp(u)] 



T14(TC X ) 

T15(TC 3 ) 
T16(TC 0 ,CP) 



L16.R16 



Calcul du 
message chiffre 
C 



FIG.13 



THSS PAGE BLANK (usptoj 



INTERNATIONAL SEARCH REPORT 



tntt .ional Application No 

PCT/FR 99/02660 



A. CLASSIFICATION OF SUBJECT MATTER 

IPC 7 H04L9/06 



According to International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (Classification system followed by classification symbols) 

IPC 7 H04L G06F 



Documentation searched other than minimum documentation to the extent that such documents are included in the fields searched 



Electronic data base consulted during the international search (name of data base and. where practical, search terms used) 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category ' Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to claim No. 



MIYAGUCHI S: "SECRET KEY CIPHERS THAT 
CHANGE THE ENCIPHERMENT ALGORITHM UNDER 
THEC0NTR0L OF THE KEY" 
NTT REVIEW, 

vol. 6, no. 4, 1 July 1994 (1994-07-01), 
pages 85-90, XP000460342 
the whole document 

-/— 



1,2,6,7 



LH 



Further documents are listed in the continuation of box C. 



Patent family members are listed in annex. 



° Special categories of cited documents : 

"A" document defining the general state of the art which is not 

considered to be of particular relevance 
"E" earlier document but published on or after the international 

filing date 

"L" document which may throw doubts on priority claim(s) or 
which is cited to establish the publication date of another 
citation or other special reason (as specified) 

"O" document referring to an oral disclosure, use, exhibition or 
other means 

"P" document published prior to the international filing date but 
later than the priority date claimed 



T" later document published after the international filing date 
or priority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 
invention 

"X" document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document is taken alone 

"Y" document of particular relevance; the claimed invention 

cannot be considered to involve an inventive step when the 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person skilled 
in the art. 

document member of the same patent family 



Date of the actual completion of the international search 

17 January 2000 


Date of mailing of the international search report 

26/01/2000 


Name and mailing address of the ISA 

European Patent Office, P. B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 


Authorized officer 

Gautier, L 



Form PCT/tSA/210 (second shoot) (July 1992) 



page 1 of 2 



INTERNATIONAL SEARCH REPORT 



Intc ional Application No 

PCT/FR 99/02660 



C.(Continuation) DOCUMENTS CONSIDERED TO BE RELEVANT 



Category "- Citation of document, with indication. wnere appropriate, of the retevant passages 



Relevant to claim No. 



YI X ET AL: "A METHOD FOR OBTAINING 
CRYPTOGRAPHICALLY STRONG 8X8 S-BOXES" 
IEEE GLOBAL TELECOMMUNICATIONS CONFERENCE. 
PHOENIX , ARIZONA, NOV. 3-8, 1997, 
vol. 2, 3 November 1997 (1997-11-03), 
pages 689-693, XP000737626 
INSTITUTE OF ELECTRICAL AND ELECTRONICS 
ENGINEERS 
abstract 
column 1, 
column 2, 
column 3, 



1-8 



line 13 - line 29 
1 ine 6 - 1 ine 18 
line 1 -column 5, line 1 



FR 2 672 402 A (GEMPLUS CARD INT) 
7 August 1992 (1992-08-07) 
abstract 

page 1 , 1 ine 4 - 1 ine 12 
page 3, line 19 - line 23 

figure 1 

claim 1 



9,10 



Foim PCT/ISA/210 (continuation o* second sheet) (July 1992) 



page 2 of 2 



INTERNATIONAL SEARCH REPORT 



Information on patent family members 



intc tonal Application No 

PCT/FR 99/02660 



Patent document 
cited in search report 



Publication 
date 



Patent family 
member(s) 



Publication 
date 



FR 2672402 



07-08-1992 



NONE 



Form PCT/lSA/210 (patent family annex) (July 1992) 



THIS PAGE BLANK (uspto) 



RAPPORT DE RECHERCHE INTERNATIONALE 



Dei Je Internationale No 

PCT/FR 99/02660 



A. CLASSEMENT DE L'OBJET OE LA OEMANDE 

CIB 7 H04L9/06 



Selon la classification internationale des brevets (CIS) ou a la fois selon la classification nationale et la OB 

B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 

Documentation minimale consultee isysteme os classification suivi des symboles de classement) 

CIB 7 H04L G06F 



Documentation consultee autre que la documentation minimale dans la mesure ou ces documents relevent des domaines sur lesquels a porte la recherche 



Base de donnees electronique consultee au cours de la recherche internationale (nom de la base de donnees, et si realisable, termes de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie ° Identification des documents cites, avec. le cas echeant, 1'indication des passages pertinents 



no. des revendications visees 



MIYAGUCHI S: "SECRET KEY CIPHERS THAT 
CHANGE THE ENCIPHERMENT ALGORITHM UNDER 
THEC0NTR0L OF THE KEY" 
NTT REVIEW, 
vol . 6, no. 4, 

1 juillet 1994 (1994-07-01), pages 85-90, 

XP000460342 

le document en entier 

-/-- 



1,2,6,7 



[ )( [ Voir ia 



suite du cadre C pour la tin de la liste des documents 



Les documents de families de brevets sont indiques en annexe 



* Categories spe dales de documents cites; 

"A" document definissant l'4tat g6neral de la technique, non 

consider^ comme particulierement pertinent 
"E" document anterieur, ma is publie a la date de depot international 

ou apres cette date 
document pouvant jeter un doute sur une revendication de 

priorite ou cit6 pour determiner la date de publication d une 

autre citation ou pour une raison speciale (telle quindiquee) 
"O" document se referant a une divulgation orale. a un usage, a 

une exposition ou tous autres moyens 
"P" document publie avant la date de depot international, mais 

posterieurement a la date de priorite revendiquee 



"T" document utteneur publie apres la date de depot international ou la 
date de priorite et n'appartenenant pas a 1*6 tat de la 
technique pertinent, mais crte pour comprendre le pnncipe 
ou la theorie constituant la base de I invention 

"X" document particulierement pertinent; finven tion revendiquee ne peut 
dtre consideree comme nouvelle ou comme impliquant une activite 
inventive par rapport au document consider isol6ment 

"Y" document particulierement pertinent: finven tion revendiquee 

ne peut etre consideree comme impliquant une activite inventive 
lorsque le document est associe a un ou plusieurs autres 
documents de meme nature, cette combtnaison etant evident e 
pour une personne du metier 

document qui fait partie de la meme f ami tie de brevets 



Date a laquelle la recherche internationale a et© eHectivement achevee 

17 janvier 2000 


Date d' expedition du present rapport de recherche internationale 

26/01/2000 


Nom et adresse postale de ('administration charge© de la recherche internationale 
Office Europe en des Brevets, P.B. 5618 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 


Fonctionnaire autorise 

Gautier, L 



Fonrnulairs PCT/ISA/210 (deuxieme teuille) (juillet 1992) 



page 1 de 2 



RAPPORT DE RECHERCHE INTERNATIONALE 



De. 



de Internationale No 



PCT/FR 99/02660 



C. (suite) DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie Identification des documents cites, avec.le cas echeant. I'indicationdes passages pertinents 



no. des revindications visees 



YI X ET AL: "A METHOD FOR OBTAINING 
CRYPTOGRAPHIC ALLY STRONG 8X8 S-BOXES" 
IEEE GLOBAL TELECOMMUNICATIONS CONFERENCE, 
PHOENIX , ARIZONA, NOV . 3-8, 1997. 
vol. 2, 3 novembre 1997 (1997-11-03), 
pages 689-693, XP000737626 
INSTITUTE OF ELECTRICAL AND ELECTRONICS 
ENGINEERS 
abrege 
colonne 1, 
colonne 2, 
colonne 3, 



1-8 



ligne 13 - ligne 29 

1 igne 6 - 1 igne 18 

ligne 1 -colonne 5, ligne 1 



FR 2 672 402 A (GEMPLUS CARD INT) 
7 aout 1992 (1992-08-07) 
abrege 

page 1, ligne 4 - ligne 12 
page 3, ligne 19 - ligne 23 

figure 1 

revendi cation 1 



9,10 



Formula! re PCT/1SA/210 (suite de la deuxieme feuille) (j utile t 1992) 



page 2 de 



2 



RAPPORT DE RECHERCHE INTERNATIONALE 

Rensetgnements relatifs aux membresde families de brevets 



Den .e Internationale No 

PCT/FR 99/02660 



Document brevet cite 
au rapport de recherche 



Date de 
publication 



Membre(s) de la 
familte de brevet(s) 



Date de 
publication 



FR 2672402 



07-08-1992 



AUCUN 



Fo mud aire PCT/ISA/210 (annexe tamilles de brevets) (juttlet 1992) 



THIS PAGE BLANK (usntn 



